principio di finalità

Accesso agli atti della PA, tre tipologie: come si deve regolare l’ente (rispettando la privacy)

E’ il “principio di finalità” la chiave di volta da adottare per valutare il rilascio o il rifiuto di un documento pubblico. Tre le tipologie di accesso alle informazioni: documentale, semplice e generalizzato. Vediamo caso per caso le condizioni giuridiche da tener presenti nel processo

25 Ott 2019
Nicola Manzi

Consulente Direzionale, Compliance, DPO


Elemento cardine della trasparenza della PA è l’esercizio dei diritti di accesso agli atti. Ovvero il potere del singolo richiedente di ottenere l’ostensione di documenti della pubblica amministrazione. Dopo aver analizzato nel precedente articolo come il principio di riservatezza possa confliggere con quello della trasparenza amministrativa, esaminiamo questa volta i vari passaggi che l’ente pubblico deve affrontare per muoversi all’interno delle varie “categorie” di richiesta di disclosure. Nel rispetto della privacy.

Il nostro ordinamento prevede ben tre possibilità di accedere ai documenti della pubblica amministrazione con i quali è necessario confrontarsi in ossequio del principio summenzionato:

  1. L’accesso “documentale” (ex L. 241/90) collegato alle specifiche esigenze del richiedente e caratterizzato dalla connotazione strumentale agli interessi individuali dell’istante, posto in una posizione differenziata rispetto agli altri cittadini che legittima il diritto di conoscere e di estrarre copia di un documento amministrativo;
  2. L’accesso civico c.d. “semplice” (d.lgs 33/2013) imperniato su obblighi di pubblicazione gravanti sulla pubblica amministrazione e sulla legittimazione di ogni cittadino a richiederne l’adempimento;
  3. L’accesso civico “generalizzato” (introdotto dal d.lgs . n. 97 del 2016 nel d.lgs 33/2013) avente ad oggetto tutti i dati e i documenti e informazioni detenuti dalle pubbliche amministrazioni, ulteriori rispetto a quelli per i quali è stabilito un obbligo di pubblicazione. E’ riconosciuto proprio «allo scopo di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico».

Senza pretendere di esaurire in una così breve trattazione la natura, le specificità e le differenze tra le varie tipologie di accesso previste dall’ordinamento, ma limitandoci ad affrontare il problema del bilanciamento tra trasparenza e protezione del dato nell’esercizio degli accessi, torna ancora una volta utile ricorrere al principio di finalità.

Prima tipologia: l’accesso documentale

Distinguere facilmente, infatti, quale relazione intercorre tra la possibilità di un soggetto di richiedere un documento e le motivazioni che hanno spinto il legislatore a riconoscerne la possibilità, è essenziale per valutare i casi concreti e decidere in merito ad un’ostensione o un diniego.

Cominciamo con l’analizzare, quindi, l’accesso documentale, il primo e più risalente accesso riconosciuto dall’ordinamento disciplinato dagli art 22 e seguenti della L. 241/1990 identificandone correttamente la finalità.

Il legislatore riconosce ai soggetti interessati, infatti, attraverso la disciplina dell’accesso documentale la possibilità di tutelare “posizioni giuridiche qualificate di cui sono titolari”. In pratica, ai fini dell’istanza di accesso documentale il richiedente deve dimostrare di essere titolare di un “interesse diretto, concreto e attuale, corrispondente ad una situazione giuridicamente tutelata e collegata al documento al quale è chiesto l’accesso”.

La tutela riconosciuta dal legislatore ai soggetti interessati consente, quindi, un’ostensione approfondita e connessa con la tutela dei diritti dell’istante.

Accesso documentale, limiti e distinzioni

Le distinzioni e le valutazioni da effettuare in caso di richiesta di accesso documentale:

  1. La valutazione dell’esistenza di un interesse “qualificato” come da dettato normativo;
  2. In caso di dati particolari (dati genetici e/o idonei a rivelare lo stato di salute e la vita sessuale), la presenza di un interesse di pari portata;
  3. L’impossibilità di utilizzare questo diritto per esercitare un “controllo generalizzato dell’amministrazione”.

Il responsabile del procedimento, quindi, laddove debba decidere se concedere o negare la richiesta di accesso agli atti, dovrà compiere una valutazione oggettiva sulla base della situazione specifica (che non tenga conto soltanto della motivazione prodotta dal richiedente) volta a rilevare:

  1. l’interesse:
    1. diretto: che ci sia, cioè, una connessione evidente tra l’istante e il documento,
    2. concreto: che l’esigenza di tutela non sia astratta né meramente ipotetica;
    3. attuale: che il documento abbia riflessi attuali sulla posizione giuridica tutelata.
  2. la corrispondenza: Il nesso di strumentalità o la connessione con una situazione giuridica che l’ordinamento protegge attraverso la concessione di strumenti di tutela (non importa se essi siano giurisdizionali o amministrativi);

Valutata positivamente la pertinenza della richiesta, poi, non potrà far altro che accordare all’istante l’accesso totale anche a quei documenti che dovessero contenere informazioni personali (rispettando ovviamente le ulteriori procedure previste dalla norma).

L’art 24 comma 7 della L. 241/90 statuisce infatti, in linea di principio, la sostanziale priorità del diritto all’accesso ai documenti amministrativi sul diritto alla riservatezza dei terzi in tutti quei casi in cui l’istanza ostensiva sia preordinata alla tutela ed alla difesa di propri interessi giuridici.

Nello specifico, però, l’operatore dovrà operare alcune distinzioni riassumibili in tre punti:

  • con riferimento ai dati personali comuni, il diritto all’accesso ai documenti amministrativi prevale sempre sull’interesse alla riservatezza, a prescindere dalla preordinazione dell’accesso ad esigenze di difesa;
  • con riferimento ai dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od o organizzazioni a carattere religioso, filosofico, politico o sindacale) il diritto d’accesso prevale solo laddove sia strettamente necessario alla tutela del diritto di difesa di interessi giuridici dell’istante;
  • con riferimento ai dati genetici e/o idonei a rivelare lo stato di salute e la vita sessuale, secondo la disciplina dell’attuale codice privacy (art 60 D.lgs. 196/03), il diritto di accesso prevale esclusivamente “se la situazione giuridicamente rilevante che si intende tutelare con la richiesta di accesso ai documenti amministrativi, è di rango almeno pari ai diritti dell’interessato, ovvero consiste in un diritto della personalità o in un altro diritto o libertà fondamentale“.

Laddove, quindi, nella concreta situazione di fatto, l’interesse all’ostensione sia effettivamente indispensabile all’esercizio del diritto, l’accesso prevarrà sempre rispetto al diritto alla riservatezza (ma, in ogni caso, a condizione che sia rispettato il principio di minimizzazione). In caso di dubbi sulla natura dei dati personali presenti nei documenti, suggerisco ovviamente di coinvolgere il DPO dell’ente che potrà così apporre il proprio parere qualificato.

Ricordo, per completezza, che il diritto d’accesso, anche laddove abbia ad oggetto documenti amministrativi contenenti quei dati convenzionalmente chiamati dati sensibili o sensibilissimi, può, secondo la prevalente giurisprudenza e dottrina, esercitarsi anche mediante l’estrazione di copia.

Seconda tipologia: l’accesso civico

FORUM PA 6 - 11 LUGLIO
Costruire la fiducia digitale: cybersecurity e privacy
Network Security
Privacy

L’accesso civico cd “semplice”, invece, dobbiamo ricordare che ha una portata alquanto limitata in quanto riguarda esclusivamente la possibilità di accedere a documenti, informazioni e dati oggetto di pubblicazione obbligatoria (articolo 5, comma 1, d. lgs. n. 33/2013). Non richiede, infine, requisiti di qualificazione da parte del richiedente e può essere esercitato da chiunque in caso di mancata pubblicazione.

Finalità di questa tipologia di accesso che verrà rivolto dall’istante al Responsabile della prevenzione della corruzione e della trasparenza è assicurare il rispetto dei dettami previsti dal d.lgs 33/2013 anche in caso di “pigrizia” dell’ente. Il bilanciamento tra i principi, in questo caso, seguirà le regole sulla pubblicità di cui abbiamo discusso precedentemente (comprese le attività di oscuramento e deindicizzazione dei contenuti).

Terza tipologia: l’accesso generalizzato

Last but not least parliamo della terza tipologia d’accesso, quella che al momento crea maggior confusione all’interno della Pubblica amministrazione: l’accesso civico “generalizzato” (art. 5 co.2 del d.lgs. n. 33/2013).

Senza alcuna necessità di motivazione né di interesse, infatti, può essere rivolto a “tutti i dati e i documenti e informazioni detenuti dalle pubbliche amministrazioni, ulteriori rispetto a quelli per i quali è stabilito un obbligo di pubblicazione” e richiede necessariamente un provvedimento espresso e motivato, da comunicare al richiedente e agli eventuali controinteressati, nel termine di trenta giorni dalla presentazione della domanda. Termine derogabile (per ulteriori 10 giorni) soltanto quando la richiesta deve essere comunicata a un eventuale controinteressato.

Scopo di questo tipo di accesso è quello di “favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico”.

Non prevedendo un interesse giuridico soggettivo da proteggere può essere esercitato da chiunque e porta molto spesso ad una attività valutativa complessa per gli uffici chiamati di volta in volta a bilanciamento tra l’interesse pubblico alla disclosure generalizzata e la tutela di alcune posizioni considerate meritevoli dall’ordinamento ed esplicitate all’interno del d.lgs 33/2013.

Il decreto “trasparenza”, infatti, individua una classificazione di interessi, pubblici (art. 5 bis, comma 1) e privati (art. 5 bis, comma 2) suscettibili di determinare una eventuale esclusione dell’accesso, cui si associano i casi di divieto assoluto (art. 5 bis, comma 3) – rinviando, poi, alle linee guida ANAC quanto alla precisazione dell’ambito operativo dei limiti e delle esclusioni.

Accesso agli atti, eccezioni e limiti

L’amministrazione chiamata in causa è tenuta, in primo luogo, a verificare la presenza di eccezioni assolute (quelle contenute nell’art 5 bis al comma 1) e in secondo luogo se l’ostensione degli atti possa determinare un pregiudizio concreto e probabile agli interessi indicati dal legislatore. Deve, cioè, sussistere un preciso nesso di causalità tra l’accesso e il pregiudizio che non sempre è facile rilevare.

L’amministrazione dovrà infatti:

a) indicare chiaramente quale – tra gli interessi elencati all’art. 5 bis, co. 1 e 2 – viene pregiudicato;

b) valutare se il pregiudizio (concreto) prefigurato dipende direttamente dalla disclosure dell’informazione richiesta;

c) valutare se il pregiudizio conseguente alla disclosure è un evento altamente probabile, e non soltanto possibile.

Può però aiutare a risolvere le questioni più spinose la possibilità per gli uffici di consentire un accesso parziale ai documenti richiesti se i limiti rilevati dall’amministrazione “riguardano soltanto alcuni dati o alcune parti del documento richiesto” (è possibile cioè l’ostensione del documento oscurando ad esempio i dati personali ivi presenti) (art. 5 bis, comma 4, secondo alinea).

Gli enti, infatti, sono tenuti a privilegiare la scelta che, pur non oltrepassando i limiti di ciò che può essere ragionevolmente richiesto, sia la più favorevole al diritto di accesso del richiedente. Il principio di proporzionalità, infatti, esige che le deroghe non eccedano quanto è adeguato e necessario per raggiungere lo scopo perseguito (cfr. sul punto CGUE, 15 maggio 1986, causa C-222/84; Tribunale Prima Sezione ampliata 13 aprile 2005 causa T 2/03).

Nella risposta negativa o parzialmente tale, sia per i casi di diniego connessi all’esistenza di limiti di cui ai commi 1 e 2 che per quelli connessi all’esistenza di casi di eccezioni assolute di cui al comma 3, l’amministrazione è tenuta a una congrua e completa motivazione.

PA digitale, la protezione dei dati personali

Salvo che non sia possibile un accesso parziale, con oscuramento dei dati, alcuni divieti di divulgazione sono previsti dalla normativa vigente in materia di tutela della riservatezza con riferimento a:

dati idonei a rivelare lo stato di salute, ossia a qualsiasi informazione da cui si possa desumere, anche indirettamente, lo stato di malattia o l’esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap fisici e/o psichici (art. 7-bis, comma 6, d. lgs. n. 33/2013).

dati idonei a rivelare la vita sessuale (art. 7-bis, comma 6, d. lgs. n. 33/2013).

dati identificativi di persone fisiche beneficiarie di aiuti economici da cui è possibile ricavare informazioni relative allo stato di salute ovvero alla situazione di disagio economico-sociale degli interessati (limite alla pubblicazione previsto dall’art. 26, comma 4, d. lgs. n. 33/2013)

Nella valutazione del pregiudizio concreto quindi, bisogna far riferimento ai principi generali sul trattamento dei dati e, in particolare, ai principi di necessità, proporzionalità, pertinenza e non eccedenza, in conformità al quadro normativo in materia di protezione dei dati personali introdotto dal Regolamento (UE) n. 679/2016.

Lo scopo dell’accesso civico generalizzato, infatti, non è la difesa di un interesse giuridico soggettivo dell’istante, ma una forma di controllo sulla pubblica amministrazione da parte del cittadino. Nel vigilare sull’attività amministrativa, difficilmente l’istante potrebbe trovare beneficio nell’ostensione di informazioni personali di un altro soggetto e nella valutazione del pregiudizio concreto non si può non considerare il rischio potenziale del controinteressato anche alla luce del fatto che ai fini della valutazione del pregiudizio concreto:

– vanno prese in considerazione le conseguenze (anche legate alla sfera morale, relazionale e sociale) che potrebbero derivare all’interessato (o ad altre persone alle quali esso è legato da un vincolo affettivo) dalla conoscibilità, da parte di chiunque, del dato o del documento richiesto;

– vanno presi in considerazione quelle categorie di dati personali che, pur non rientrando nella definizione di dati sensibili e giudiziari, richiedono una specifica protezione quando dal loro utilizzo, in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che può determinare, possano derivare rischi specifici per i diritti e le libertà fondamentali degli interessati (si pensi, ad esempio, ai dati genetici, biometrici, di profilazione, sulla localizzazione o sulla solvibilità economica).

– va presa in considerazione la riutilizzabilità totale dei documenti ottenuti attraverso l’esercizio dell’accesso civico generalizzato “senza ulteriori restrizioni diverse dall’obbligo di citare la fonte e di rispettarne l’integrità”.

Tutela dati personali, servono strumenti by default

L’ente, in pratica, per non incorrere in responsabilità nel dare riscontro alla richiesta di accesso civico generalizzato, dovrebbe adottare “by default” tutte le misure necessarie alla salvaguardia dei diritti dell’interessato, privilegiando le tecniche di anonimizzazione dei dati personali in esso presenti, almeno quando l’esigenza informativa, alla base dell’accesso generalizzato, possa essere raggiunta senza implicare il trattamento dei dati personali.

In tal modo, tra l’altro, si assicurerebbe anche una maggiore celerità del procedimento, in quanto l’istanza può essere accolta senza dover attivare la procedura di coinvolgimento del soggetto (o dei soggetti) controinteressato/i.

Concludendo, mi sembra opportuno ricordare che nella fase di valutazione del pregiudizio concreto, coinvolgere soggetti come il DPO e/o al Responsabile per l’anticorruzione e la trasparenza dell’ente, può aiutare a raggiungere nel caso concreto il miglior bilanciamento dei principi possibile. Le valutazioni di merito che ogni ufficio è chiamato a compiere in caso di esercizio di diritto di accesso, infatti, non sono agevoli e richiedono velocità d’azione e capacità di analisi che soltanto la presenza di procedure stabilite e il coinvolgimento di più soggetti possono semplificare senza compromettere di fatto l’esercizio dei diritti.

WHITEPAPER
Sicurezza: perchè puntare su un approccio zero trust?
Sicurezza
Sicurezza dei dati

@RIPRODUZIONE RISERVATA

Articoli correlati